Zum Schutz der immer wichtiger werdenden Daten ist eine vermehrte Anwendung technischer Schutzmaßnahmen erforderlich – mittlerweile sogar nahezu unumgänglich.
Die Benutzung von E-Mail, SMS, WhatsApp und anderen elektronischen Kommunikationsmöglichkeiten gehört inzwischen zu unserem Alltag. Wohl deshalb setzen auch immer mehr Steuerberatern und Rechtsanwälten im beruflichen Kontext E-Mails zur Kommunikation mit den Mandanten ein. Die Möglichkeiten, E-Mails mitzulesen, zu manipulieren oder abzufangen sind jedoch vielfältig sowie unkompliziert schon für IT-technische Laien erlernbar. Edward Snowden hat insoweit die (staatlichen) Eingriffsmöglichkeiten eindrucksvoll aufgezeigt. Im Hinblick auf die elektronische Kommunikation ist allerdings festzustellen, dass eine Absicherung derselben oft noch immer den Zwängen von Praktikabilität und Bequemlichkeit weichen muss. Um in diesem Umfeld nicht den rechtlichen Anforderungen an die Verschwiegenheit und den Schutz der Daten zu erliegen, müssen diese Kommunikationswege technisch abgesichert werden. Unabhängig von in Zukunft höheren Strafen beziehungsweise strengeren Compliance-Anforderungen an Unternehmen werden sich in diesem Kontext alle Beteiligten darauf einstellen müssen, dass Sicherheit immer auch ein Stück Bequemlichkeit kosten wird.
Geheimhaltungspflichten
Selbstverständlich strahlt die Verschwiegenheitspflicht von Berufsgeheimnisträgern wie Steuerberatern und Rechtsanwälten auf die Gestaltung der Tätigkeiten dieser Berufe aus. Die Geheimhaltungspflichten, denen diese Freiberufler und ihre Mitarbeiter unterliegen, ergeben sich aus §§ 57, 62 StBerG, § 43 Abs. 2 S. 1 BRAO, § 2 BORA. Umfang und Anwendungsbereich sind leicht unterschiedlich geregelt. Mittlerweile herrschende Meinung ist, dass auf die elektronische Kommunikation dieser Berufe, soweit es um personenbezogene Daten der eigenen internen Organisation (Beschäftigtendaten) sowie der von externen Dienstleistern geht, im Hinblick auf die technischen Schutzmaßnahmen § 9 Bundesdatenschutzgesetz (BDSG) anzuwenden ist. Bei mandatsbezogenen Daten gehen indessen dem Datenschutzrecht die Regelungen des Berufsrechts vor. Die berufsrechtlichen Regelungen enthalten jedoch keine Vorgaben zur Schaffung technischer und organisatorischer Sicherheit der Daten. Insofern kann nur empfohlen werden, sich bei der Gestaltung eines Sicherheitskonzepts für eine Kanzlei an den Schutzzielen der Anlage zu § 9 BDSG zu orientieren. Hierbei sollten sich Berufsträger vor Augen halten, dass eine unrechtmäßige Kenntniserlangung der einem Berufsgeheimnis unterliegenden Daten eine Informationspflicht nach § 42a BDSG gegenüber der Datenschutzaufsicht und den Betroffenen auslösen kann. Die Offenbarung von Berufsgeheimnissen ist im Strafgesetzbuch (StGB) sanktioniert in § 203, Verstöße gegen das BDSG werden gemäß §§ 43, 44 BDSG als Ordnungswidrigkeiten geahndet. Ein hohes Schutzniveau der Mandantendaten beim Transport der Daten erscheint damit für alle Beteiligten erforderlich.
Verschlüsselung der Transportwege
Für eine vertrauliche Kommunikation sollten Text und Anhang der E-Mail verschlüsselt werden.
Grundsätzlich werden E-Mails und deren Dateianhänge unverschlüsselt gesendet, sodass sie auf dem Transportweg ohne weitere Hürden gelesen und abgefangen werden können. Um eine vertrauliche Kommunikation mit dem Mandanten zu gewährleisten, sollten sowohl der Text der E-Mail als auch deren Anhang verschlüsselt werden. Hierzu gibt es verschiedene Möglichkeiten. Insbesondere für kleinere Einheiten bietet sich das Prinzip der client-basierten Verschlüsselung an. Dabei wird die Kommunikation beginnend beim PC des Versenders bis zum PC des Empfängers durchgängig verschlüsselt. Hierfür werden elektronische Schlüssel zur Verschlüsselung der Nachricht benötigt sowie eine elektronische Signatur, die jeweils den Versender und Empfänger eindeutig identifiziert. Damit die Verschlüsselung der E-Mails funktioniert, müssen beide Parteien dieselbe Software einsetzen, was in der Zusammenarbeit mit Mandanten eine nachvollziehbare Herausforderung darstellt. Um dieses Problem zu umgehen, kann auf eine passwortbasierte Verschlüsselung bei Empfängern zurückgegriffen werden, die keine Verschlüsselungs-Software oder andere technische Lösungen hierzu wie PKI oder S/MIME verwenden. Dabei wird von dem Programm, das man als Versender einsetzt, im Prinzip eine verschlüsselte Datei, etwa als PDF, an den Empfänger versandt, die dieser mit einem zuvor vereinbarten Passwort oder mit einer Zugangskennung in einem Portal öffnen kann. Damit ist der Einsatz derselben Software beim Empfänger nicht mehr erforderlich.
Verfahren nach dem Stand der Technik
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) fordert Unternehmen zu Verschlüsselungsmaßnahmen auf. Die Behörde hat 2014 Mailserver von mehreren Tausend bayerischen Unternehmen mithilfe eines Skripts anlasslos auf die Verwendung von Verschlüsselungsmaßnahmen überprüft. Dabei ergab sich, dass die Verschlüsselung von Mailservern und der damit verbundene Schutz personenbezogener Daten oft vernachlässigt wurden. Die Rechtsgrundlage für die Überprüfung bildete § 38 BDSG, nach dem den Datenschutzbehörden die Überwachung des BDSG obliegt. Gemäß § 9 Satz 2 Nr. 2–4 BDSG sind Unternehmen darüber hinaus verpflichtet, Verschlüsselungsverfahren nach dem Stand der Technik umzusetzen. Die betroffenen Server wurden vom BayLDA anhand ihrer MX-Records und DNS-Anfragen gefunden. Aufgrund der Prüftätigkeiten der Datenschutzaufsicht erklärt sich auch die Diskussion zwischen Rechtsanwaltskammern und Datenschutzaufsichten, ausgelöst durch in den letzten Jahren vorgenommene, anlasslose Datenschutzprüfungen des BayLDA nach § 38 BDSG in Anwaltskanzleien. Die Prüfpunkte betrafen dabei insbesondere auch die technischen Schutzmaßnahmen nach § 9 BDSG, wie allgemeine Zutrittskontrolle, Datenträgervernichtung, sichere E-Mail-Kommunikation, sichere IT-Infrastruktur zwischen Standorten oder das Back-up-Konzept. Die hierdurch ausgelösten Gespräche der Datenschutzaufsicht mit der Bundesrechtsanwaltskammer (BRAK) über die Reichweite der aufsichtsrechtlichen Befugnisse nach § 38 BDSG gegenüber Rechtsanwälten blieben zwischen den Beteiligten bisher ohne Einigung. Auf Bitten der BRAK wird das Thema derzeit im Düsseldorfer Kreis erörtert, eine abschließende Stellungnahme steht noch aus.
Einwilligung in unverschlüsselte Kommunikation
Die datenschutzrechtliche Möglichkeit einer Einwilligung durch die Mandanten als solche in unverschlüsselte E-Mail-Kommunikation ist umstritten. In der Literatur hält eine große Anzahl von Autoren jede Einwilligung in den Verzicht auf eine E-Mail-Verschlüsselung für unwirksam, da diese letztlich vom Gesetz vorgeschrieben sei. Zustimmend muss hierzu gesagt werden, dass technisch-organisatorische Sicherheitsmaßnahmen aus rechtlicher Sicht wohl nicht einwilligungsfähig sind. Dennoch hat eine Einwilligung des Nutzers Auswirkungen auf das erforderliche Schutzniveau nach § 9 S. 2 BDSG. Im Ergebnis ist damit eine Einwilligung des Betroffenen in die Zusendung unverschlüsselter E-Mails zwar rechtlich keine solche, wirkt aber genau wie eine Einwilligung und erfüllt damit deren Zweck. Bei den hier angesprochenen Berufen kommt hinzu, dass es um Informationen geht, die § 203 StGB unterliegen. Die – sogar formlose – Einwilligung in eine Offenbarung im Sinne von § 203 StGB ist zwar möglich. Doch § 203 StGB verdrängt nicht das BDSG, sodass im Anwendungsbereich des BDSG – etwa bei E-Mails – dessen strengere Vorschriften zu beachten sind. Wichtig ist, dass sich eine Einwilligung nach dem BDSG nur auf Daten der Person bezieht, die die Einwilligung erklärt. Eine derartige Zustimmungserklärung kann grundsätzlich in den Mandatsbedingungen erfolgen. Nach § 4 a Abs. 1 S. 4 BDSG ist jedoch dann erforderlich, dass die Klausel besonders hervorgehoben wird und dass erklärt wird, zu welchem Zweck die Datenverwendung erfolgt. Weiter ist auf die Folgen einer Verweigerung der Einwilligung hinzuweisen.
Beteiligte sensibilisieren
Für die Umsetzung von Maßnahmen, wie voranstehend beschrieben, sollten die Mitarbeiter immer einbezogen beziehungsweise bei der Prozessgestaltung beteiligt werden. Wie bei den anderen Hilfstätigkeiten in Kanzleien auch funktionieren diese nur dann, wenn alle Beteiligten verstanden haben, worum es geht und wie die Maßnahmen funktionieren sollen. Unabhängig davon sehen die Gesetze bei der Offenbarung durch Gehilfen oder durch Organisationsverschulden in den Unternehmen zum Teil empfindliche Geldstrafen vor.
Mehr DAZU
MEHR DAZU
Weitere Informationen zu den angesprochenen Themen sowie den Unterstützungsangeboten der DATEV finden Sie unter: www.datev.de/sichere-kommunikation